Содержание
Что такое песочница Cuckoo?
В трех словах Cuckoo Sandbox представляет собой систему анализа вредоносных программ.
Что это значит?
Это просто означает, что вы можете бросить в него какой-либо подозрительный файл, и в считанные секунды Cuckoo предоставит вам некоторые подробные результаты, в которых будет указано, что делает это файл, когда он выполняется в изолированной среде.
Использование
- Выполните скрипт: sh cuckooautoinstall.sh
- Добавьте пароль для пользователя ‘cuckoo’, созданный скриптом. Используйте команду passwd cuckoo.
- Создайте виртуальные машины http://docs.cuckoosandbox.org/en/latest/installation/guest/ или импортируйте виртуальные машины, используя VBoxManage import virtual_machine.ova
- Добавьте к виртуальным машинам параметр HostOnly, используя vboxnet0: vboxmanage modifyvm “virtual_machine” –hostonlyadapter1 vboxnet0 (используйте эту команду для отображения виртуальных машин: VBoxManage list vms)
- Настройте cuckoo: cuckoo/conf/cuckoo.conf, cuckoo/conf/auxiliary.conf & cuckoo/conf/virtualbox.conf
- Выполните cuckoo (проверьте выводt): cd cuckoo && python cuckoo.py
- Выполните webpy (пор 8080): cd cuckoo/utils && python web.py
- Выполните django используя порт 6969: cd cuckoo/web && python manage.py runserver 0.0.0.0:6969
Возможности скрипта
- Он устанавливает по умолчанию песочницу Cuckoo со всеми дополнительными материалами: yara, ssdeep, django …
- Он устанавливает последние версии: ssdep, yara, pydeep-master & jansson.
- Он пытается решить общие проблемы во время установки: ldconfigs, autoreconfs …
- Он устанавливает по умолчанию VirtualBOX и создает hostonlyif.
- Он создает правила iptables и ipforward для включения Интернета в виртуальные машины cuckoo:
sudo iptables -A FORWARD -o eth0 -i vboxnet0 -s 192.168.56.0/24 -m conntrack --ctstate NEW -j ACCEPT sudo iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT sudo iptables -A POSTROUTING -t nat -j MASQUERADE sudo sysctl -w net.ipv4.ip_forward=1
Он позволяет запускать tcpdump от пользователя “не root”:
sudo apt-get -y install libcap2-bin sudo setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump
Он создает пользователя «cuckoo» в системе, и он также добавляет этого пользователя в группу vboxusers.
Это включает mongodb в conf/reporting.conf
Исправлена ошибка “TEMPLATE_DIRS setting must be a tuple” при установке python manage.py из версии DJANGO> = 1.6:
Замена в web/web/settings.py:
TEMPLATE_DIRS = ( "templates" ) For: TEMPLATE_DIRS = ( ("templates"), )